|
Título: SQL Injection, caracter de esacape Publicado por: onlytk en 11 Octubre 2005, 19:03 pm Hola a todos, tengo una duda, recien estoy practicando kon esto de los SQL Injections, y al parecer para entrar a las paginas en donde te pide usuario simplemente se deberia poner un : admin' or 1=1 --, para saltar la seguridad pero en varias webs no resulta, bueno despues de eso hice yo mi propia pagina de acceso, e imprimi el resultado de la consulta al poner el sql injection y esto me dio de resultado:
SQL = select * from administrador where user='admin\' or 1=1 --' Al parecer ahi lo que lo malogra es que el PHP o el ASP pone un caracter de escape, kon lo que me malogro XDDD, hay alguna forma de pasar esto??? o el propio PHP o ASP ya tienen sus rutinas de seguridad inkorporados para que kuando ingreses el karacter ' este le adjunte un \ ???? akaso ya murio kon esto los SQL Injections??????????????? desde ya gracias por las respuestas. 8) Título: Re: SQL Injection, caracter de esacape Publicado por: oRTNZ en 15 Octubre 2005, 06:31 am Si se a que te refieres los asp aspx, tiene cierta fobia a las injecciones y script :P ¨provoca un error¨, aprende a leer el contenido de una web y viola!
pd. lee con cuidado esto! :P es algo antiguo pero con las web modernas de ahora rula! |